因为咸鱼 APP 产品漏洞导致被骗

2020-07-06 10:33:31 +08:00
 TIMIYANG
¥ jLFM1x086Lm ¥
淘口令到现在还能识别,而且已经换成什么陪玩了。但是咸鱼应该修复了 虽然能识别但是打不开产品页面了

贴吧看到有人卖话说 RGO 耳机 我加 Q 联系后
整个被骗流程如下
对方发一个 淘口令给我 我复制后打开 咸鱼 APP,咸鱼 APP 能正常识别到这个淘口令 提示的是我要购买的耳机产品
当我点击确认后 打开的是一个耳机产品的详情页面
然后我点击右下角的我想要 跳转到付款页面 使用支付宝 APP 付款
付款后我在我咸鱼的订单里面没有这笔交易

整个流程都是在咸鱼内完成
我联系了咸鱼客服,咸鱼客服不作为 已经跟他反馈产品漏洞以及被骗经过 不但不严谨处理 还跟我玩踢皮球
让我报警?

首先这个确实很难防,如果对吗发的是链接 或者是钓鱼的 确实可以避免
但这个一切都是在咸鱼 APP 里面 进行的 咸鱼至始至终没有提示任何风险
而且假的淘口令尽然能在咸鱼官方 APP 能够识别 试问一下 多少人能避免不被骗?

拨打杭州 12315,告诉我说他们受理不了这个投诉 让我走网络法院起诉
9726 次点击
所在节点    全球工单系统
105 条回复
TIMIYANG
2020-07-06 10:34:41 +08:00
在 LOC 发帖后,有人帮我解析了这个淘口令 分析结果如下
https://www.hostloc.com/thread-712363-1-1.html
ersic
2020-07-06 10:36:18 +08:00
套路这么深?那笔钱是付到哪了?
across
2020-07-06 10:39:54 +08:00
这个钓鱼法倒没听过···· 大概是其他 app 内部已经防止口令跳转了?
imdong
2020-07-06 10:43:21 +08:00
看了下分析,黑产是真滴牛逼。
JasperYanky
2020-07-06 10:44:30 +08:00
我想说的是,就算有白名单也没用,因为淘宝管理不严格,部分在白名单里面的域名过期被抢注掉,根据这些域名发展的一些列的灰产已经是生态了~ 不能多说了
TIMIYANG
2020-07-06 10:45:39 +08:00
@ersic 这笔钱付给了交易猫上面的一个什么 Q 币充值
TIMIYANG
2020-07-06 10:46:30 +08:00
@JasperYanky 所以这属于阿里产品漏洞 尽然投诉无门 害
lurenn
2020-07-06 13:08:26 +08:00
打 12345 市长热线试试看。一般会帮你转达给相关的受理部门。
要不就不要在市级投诉,考虑上升到 sheng 级,例如找 sheng 长邮箱写信访信件,省级转达到市级,市级会更重视。
takemeaway
2020-07-06 13:55:34 +08:00
咸鱼有一部分责任,口令没有白名单验证。

应该是利用咸鱼内置浏览器跳转到片子的 H5 页面,调用支。付宝支付的。这属于咸鱼漏洞。

建议楼主去收集支。付宝方面的信息,应该能够查出骗子的。
whywhywhy
2020-07-06 14:08:29 +08:00
淘宝 app 也有这样的毛病,之前就觉得这是个漏洞,会出大问题,果然有人杯具了。
Tink
2020-07-06 14:11:34 +08:00
这个确实是有问题,厉害了
takemeaway
2020-07-06 14:12:09 +08:00
刚才查了一下,我可以复现这个效果。
门槛挺低的,希望大家以后付款的时候多加注意,被骗总归是自己承担最大的责任。
loading
2020-07-06 14:15:51 +08:00
这个确实,看来在 app 内也不太安全。
S8I86w6eTxeLcK0a
2020-07-06 14:17:25 +08:00
前阵子就见过很多种这样的
reedthink
2020-07-06 14:18:01 +08:00
付款的时候看清楚啊。我一般锁单不付款,二次检查后付款
est
2020-07-06 14:27:19 +08:00
黑产真 nb 。
niubikelasi
2020-07-06 14:47:45 +08:00
这也太恐怖了
changwei
2020-07-06 14:55:45 +08:00
先报警留案底,运气好的情况下,报紧人数多了 jc 可能就会加大办案效率和打击力度,运气不好,金额少的情况下可能就不了了之了。
chniccs
2020-07-06 14:56:38 +08:00
真想了解一下黑产的人脑子到底是怎么运作的。
anyclue
2020-07-06 14:57:06 +08:00
看了下,好像是淘口令在千牛里生成的时候可以选择自定义网址和有效期(这是关键点),骗子以手机网站的形式高仿了个闲鱼 App 的界面,点击我想要的时候跳转到了支付宝网页版的付款界面(进入正常流程),最终调用楼主的支付宝 App 支付。

淘宝在淘口令的生成上确实有问题,不应该允许自定义网址的生成。

既然是支付宝付款,联系支付宝客服应该可以追回被骗的钱财了吧?

楼上说黑产牛逼的真不能认可,这操作一点也不牛,而且高仿闲鱼还有调用支付宝支付这里,还是有一些细节差别的,仔细看是可以分辨出来的,可能楼主对闲鱼不怎么熟悉所以没能及时止损吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/687482

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX